[求助]发现病毒Exploit.HTML.Mht.bl ，瑞星杀不下去，怎么办？ bbs.ikaka.com

小佛 - 2005-10-5 6:40:00

昨晚11点左右，有人连续攻击，随后瑞星杀毒（实时监控），瑞星防火墙自动关闭，运行杀毒，发现病毒Exploit.HTML.Mht.bl ，删除成功，但是实时监控出不来，再次运行杀毒，又发现病毒Exploit.HTML.Mht.bl ，删除成功，实时监控还是出不来，小狮子也不是杀毒状态，进入安全模式，杀毒没有发现病毒，回正常模式，XP登陆界面的瑞星杀毒消失，防火墙还有，运行杀毒，没有发现病毒，实时监控依旧调不出来，我现在该怎么办？

请哪位高手指教一下，谢谢！

小佛 - 2005-10-5 7:15:00

我又重新下载了17.47，并重新安装，但是还是不行！

进程诊断发现ptool32.exe，这个可疑的程序

命运里の金色 - 2005-10-5 7:25:00

ptool32.exe请将这个文件用WINRAR打包，发到：baohelin@yahoo.com.cn

小佛 - 2005-10-5 7:50:00

可是这个程序我肯本就找不到

命运里の金色 - 2005-10-5 7:54:00

打开隐藏后,在查找我的电脑

小佛 - 2005-10-5 9:19:00

我的隐藏一直都是打开的，而且搜索也找不到！！！

独孤豪侠 - 2005-10-5 9:21:00

杀软报的路径是什么？

小佛 - 2005-10-5 11:47:00

C:\Documents and Settings\急先锋\Local Settings\Temporary Internet Files

woaizhaoli - 2005-10-5 12:06:00

楼猪/你个SB.有困难来找别人帮.别人有困难发贴.你连顶都不帮顶.你快去死吧.谁帮你

命运里の金色 - 2005-10-5 12:09:00

引用:

【小佛的贴子】C:\Documents and Settings\急先锋\Local Settings\Temporary Internet Files
...........................

你的浏览器是多少的?把IE6的补丁都打好~~,在清空IE临时文件

附件: 4147582005105120938.jpg

独孤豪侠 - 2005-10-5 12:09:00

【回复“小佛”的帖子】后面没带文件名？

小佛 - 2005-10-5 12:17:00

肯本就找不到那个文件，9楼的办法我早就做了，但是没有用！
现在病毒是不出来了，可是实时监控消失了，开机登陆时的瑞星杀毒图标也没有了

独孤豪侠 - 2005-10-5 12:18:00

把瑞星再重装一次试试。

小佛 - 2005-10-5 12:36:00

我重新装过了，刚开始有，重起时还有，一上网就消失了！！！

命运里の金色 - 2005-10-5 12:43:00

ptool32.exe
象图那样设置,查找

或者用hijackthis扫描后,把日志贴上来

附件: 4147582005105124352.jpg

小佛 - 2005-10-5 12:50:00

搜索不到，但是重起后开机就会在进程中出现，一搜索就没有结果

命运里の金色 - 2005-10-5 12:52:00

用hijackthis扫描后,把日志贴上来

bobo无极限 - 2005-10-5 12:53:00

贴上你的log

小佛 - 2005-10-5 12:56:00

引用:

【命运里の金色的贴子】
或者用hijackthis扫描后,把日志贴上来
...........................

那是什么？我不知道

小佛 - 2005-10-5 12:59:00

不仅我自己这样，还有别人也有同样的遭遇！
http://forum.ikaka.com/topic.asp?board=39&artid=7258022

命运里の金色 - 2005-10-5 13:02:00

【回复“小佛”的帖子】1.HijackThis（附件中）

①使用说明：瑞星HijackThis专题（http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm）

②Windows 98/ME用户运行HijackThis后如提示没有MSVBVM60.DLL文件，请下载这个VB包，其中有需要的文件：
http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98Me/EN-US/vbrun60sp5.exe

狂野如我 - 2005-10-5 13:07:00

我和楼主症状一样，这是我的log
Logfile of HijackThis v1.99.1
Scan saved at 13:05:11, on 2005-10-5
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\system32\slserv.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\ptool32.exe
C:\WINDOWS.0\System32\pscnty.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\WINDOWS.0\System32\hkcmd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS.0\System32\gsicon.exe
C:\WINDOWS.0\System32\dslagent.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS.0\System32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\桌面\HijackThis.exe
C:\WINDOWS.0\System32\wuauclt.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O2 - BHO: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - C:\PROGRA~1\SUPERR~1\IEG\HAOKAN~2.DLL
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O3 - Toolbar: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O3 - Toolbar: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - C:\PROGRA~1\SUPERR~1\IEG\HAOKAN~2.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS.0\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS.0\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS.0\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\System32\hkcmd.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: 3.插入QQ表情 - res://C:\WINDOWS.0\System32\esagent.dll/openqqemot.html
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm
O16 - DPF: {0400AC1C-EEF0-4638-A501-31D5A0DC2002} (VTPlug3 Class) - http://202.101.62.195:1995/VTrans.cab
O16 - DPF: {1DCEAEFB-ABD9-490F-894B-E7A99103CD05} (Echat2 Class) - http://www.showbar.cn/echat2/cab/showbar_chat.cab
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://www.etvnet.net/plugin/PowerPlr.ocx
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (BlueskyVideo Control) - http://www.bluesky.cn/download/v2_60.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://202.101.62.195:1995/talk.cab
O16 - DPF: {7253A666-8D4A-11D7-A4DC-00E04C504779} (BDC Control) - http://bbs.sjzecho.com/BDC.cab
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} (Blueskyvoice Control) - http://www.bluesky.cn/download/blueskyvoice_60.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {FA7D78BA-3EA7-4E52-B0E2-0772F577E6CC} (VideoOcx Control) - http://www.sliao.cn/roomui/videoocx.ocx
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcastdl.dudu.com/files/pCastCtl.cab
O20 - AppInit_DLLs: APIHookDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS.0\SYSTEM32\igfxsrvc.dll
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS.0\SYSTEM32\slserv.exe

bobo无极限 - 2005-10-5 13:09:00

【回复“狂野如我”的帖子】
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS.0\SYSTEM32\slserv.exe

狂野如我 - 2005-10-5 13:13:00

我也有那个不明的ptool32.exe进程.bobo朋友说的那个slserv.exe是个什么东东？要清除掉吗？

狂野如我 - 2005-10-5 13:41:00

刚才监视了一下网络，那个ptool32.exe要访问网络www.jpzb.com

小佛 - 2005-10-5 16:39:00

谁能帮助我们这些可怜的人？

命运里の金色 - 2005-10-5 16:42:00

我去叫baohe去,这个比较麻烦

独孤豪侠 - 2005-10-5 16:45:00

呵呵，同意楼上的，这个贴我跟着也学学

小佛 - 2005-10-5 16:47:00

谢谢大家的帮助，继续努力呀！

小佛 - 2005-10-5 16:49:00

技术支持那边都没人理睬我们~

http://forum.ikaka.com/topic.asp?board=39&artid=7258022

瑞星卡卡安全论坛